解釋《內部審計專業實務標準)中的第 2010 條標準 相關標準 2010
制定審計計畫 審計執行主管應根據風險制定計畫,確定符合機構目標的內部審計工作重點。
本實務公告性質
內部審計部門的計畫應該反映機構的風險戰略。機構的風險管理與內部審計程式之間應
該協調一致,使這兩項工作產生協同增效的作用。除本公告以外,可能還有必要考慮到其他 一些因素。是否遵守實務公告由審計師自行選擇決定。
1.應該在對可能影響機構的風險進行評估的基礎上,制定內部審計部門的審計計畫。 審計的最終目的是向管理層提供信息:以減少在實現機構目標的過程中可能帶來的負面影 響。風險的程度或重大性可以看做是在開展控制活動之後風險的降低情況。
2.審計範圍可以包含機構戰略性計畫的組成部分,從而考慮並反映整個公司的計畫目 標。戰略性計畫也可能反映出機構對待風險的態度和實現既定目標的困難程度。建議至少每 年對審計範圍進行一次評估,以反映機構的最新戰略和方針。審計範圍可能受到風險管理過 程結果的影響。制定審計計畫時,應考慮到風險管理過程的結果。
3.應該在評估風險優先次序的基礎上安排審計工作。在對風險進行優先排序之後,才 能根據風險的重要性分配相關的資源。風險模式有多種,它們可以幫助審計執行主管排列出 潛在審計目標的優先次序。大多數的風險模式都利用風險因素來確定審計業務工作重點,這 些因素有:金額的重大性;資產的折現力;管理能力;內部控制的質量;變化或穩定程度; 上次審計業務開展的時間;複雜性;與雇員及政府的關係;等等。
4.在更新審計範圍與相關審計計畫中的內容時,應該反映出管理層的方針、目標、工 作重心出現的變化。
5.在開展審計業務時,用於檢測、證實風險的技術與方法應該能夠反映出風險的重大 性與發生的可能性。
6.在向管理層的報告中應該傳達對風險管理的結論和建議,以降低風險。為了讓管理 層充分理解風險的程度,很重要的一點就是在審計報告中提出風險活動對於實現目標的關鍵 性與後果。
7.審計執行主管應該至少每年準備一份關於內部控制充分性的聲明,以減少風險。此 聲明也應該對未防範風險的重大性及管理層對此風險的接受情況發表意見。